Lieferkettenangriffe mit Baobab MDR Service aufdecken

Zusammengefasst: Angreifer schleusen Schadsoftware in ein offizielles, digital signiertes Software-Update ein. Klassische Sicherheitslösungen vertrauen der Signatur und schlagen keinen Alarm – der Baobab MDR Service erkennt den Angriff trotzdem, weil er das Verhalten der Software überwacht statt nur ihrer Herkunft zu vertrauen.
Für wen ist dieser Use Case relevant?
Dieses Szenario betrifft Unternehmen, die:
- Software mit weitreichenden Zugriffsrechten einsetzen – zum Beispiel für Buchhaltung, ERP, CRM oder Fernwartung
- automatische Updates dieser Software zulassen, ohne jede Installation einzeln zu prüfen
- sich bewusst sind, dass ihre bisherige Sicherheitslösung primär prüft, ob eine Software vertrauenswürdig aussieht – nicht, wie sie sich tatsächlich verhält
Kurz: Jedes mittelständische Unternehmen, das zentral verwaltete Standardsoftware im automatisierten Update-Betrieb nutzt.
Der Angriff im Überblick
Ein Softwarehersteller wird selbst Opfer eines Angriffs. Die Hacker verschaffen sich Zugriff auf dessen Entwicklungsumgebung und schleusen Schadcode in ein reguläres Update ein. Der Hersteller signiert und verteilt das Update wie gewohnt – ohne von der Manipulation zu wissen.
Für das Zielunternehmen sieht alles normal aus: Das Update stammt aus einer bekannten Quelle, trägt eine gültige Signatur und wird automatisch installiert. Im Hintergrund nimmt die Software danach Kontakt zu einem Server der Angreifer auf und beginnt, Zugangsdaten und vertrauliche Dokumente zu sammeln und zu übertragen.
Angriffsablauf: Ohne und mit Baobab MDR

Folgen eines solchen Angriffs
- Finanziell: Über Wochen hinweg können Geschäftsgeheimnisse, Kundendaten oder geistiges Eigentum abfließen – mit direktem Schaden für Wettbewerbsposition und Umsatz
- Reputation: Der Vertrauensverlust bei Kunden und Partnern wiegt oft schwerer als der unmittelbare finanzielle Schaden
- Regulatorisch: Bei betroffenen personenbezogenen Daten drohen zusätzlich empfindliche Bußgelder
Ohne Baobab MDR: Warum klassische Sicherheitslösungen hier blind bleiben
Klassische Sicherheitslösungen prüfen in erster Linie, ob eine Datei aus vertrauenswürdiger Quelle stammt – also ob sie korrekt signiert ist und von einem bekannten Hersteller kommt. Genau das trifft hier zu, weil ja der Hersteller selbst kompromittiert wurde. Die Software erhält also grünes Licht und darf ungehindert agieren. Der eigentliche Angriff – der Datenabfluss – bleibt dadurch wochenlang unbemerkt.
Mit Baobab MDR: Wie der Angriff gestoppt wird
Baobab MDR verlässt sich nicht auf die Herkunft einer Software, sondern beobachtet fortlaufend, wie sie sich normalerweise verhält – und erkennt Abweichungen davon sofort.
1. Erkennung: Die Software beginnt plötzlich, große Datenmengen an unbekannte Adressen im Ausland zu senden – ein deutliches Abweichen von ihrem gewohnten Verhalten.
2. Prüfung: Ein Analystenteam bewertet den Vorfall rund um die Uhr, gleicht ihn mit weiteren Auffälligkeiten ab und bestätigt: Es handelt sich um einen echten Angriff.
3. Reaktion: Die schädlichen Verbindungen werden blockiert, betroffene Prozesse gestoppt und das manipulierte Update isoliert – bevor größerer Schaden entsteht.
Direkter Vergleich
Vorteile von Baobab MDR in diesem Fall
- Schützt auch dort, wo Vertrauen missbraucht wird: Erkennt Angriffe, die über offizielle, signierte Kanäle laufen – ein blinder Fleck klassischer Lösungen
- Wenig Fehlalarme: Schlägt nur an, wenn sich eine Software wirklich ungewöhnlich verhält, nicht bei jeder Routineänderung
- Schnelles, gezieltes Eingreifen: Es wird nicht das ganze Netzwerk abgeschaltet, sondern gezielt die betroffene Verbindung oder der betroffene Prozess gestoppt
- Unterstützung über die akute Reaktion hinaus: Nach der Erstreaktion begleitet das Baobab MDR Team auch bei der Nachbereitung – etwa bei der Klärung, wie weit sich ein Angriff ausgebreitet hat, bei der Prüfung von Meldepflichten oder bei der Abstimmung mit dem betroffenen Softwarehersteller
Schützen Sie Ihre IT-Infrastruktur vor blinden Vertrauensrisiken. Verlassen Sie sich nicht ausschließlich auf digitale Signaturen. Erfahren Sie im Gespräch mit unseren Experten, wie Baobab MDR Ihre Lieferkette effektiv absichert.

FAQ
1. Warum können klassische Virenscanner einen Lieferkettenangriff nicht verhindern?
Sie prüfen Dateien auf bekannte Merkmale und vertrauen zertifizierten Herstellern. Wird der Hersteller selbst kompromittiert, ist das Update formal legitim – der Virenscanner schlägt keinen Alarm.
2. Wie erkennt Baobab MDR, dass ein Update bösartig ist?
Nicht anhand der Herkunft, sondern anhand des Verhaltens danach: Beginnt eine Software, ungewöhnlich große Datenmengen an unbekannte Adressen zu senden, wird das als verdächtig eingestuft und geprüft.
3. Muss bei einem infizierten Update das gesamte Firmennetzwerk abgeschaltet werden?
Nein. In der Regel reicht es, die betroffene Verbindung zu blockieren oder den betroffenen Prozess zu stoppen. Der übrige Betrieb läuft ungestört weiter.


